Informacijski pooblaščenec (IP) je anonimno prijavo o ranljivosti spletnega portala Uprave Republike Slovenije za varno hrano, veterinarstvo in varstvo rastlin (UVHVVR) prejel 29. oktobra lani in jo nanjo takoj opozoril. Prijavitelj je navedel, da je na spletni strani UVHVVR odkril ranljivost, ki omogoča pridobitev osebnih podatkov (imena, priimka, naslova, EMŠO in davčne številke) 873.201 fizične osebe, uparjenih s centralnim registrom prebivalstva. Nepooblaščeni so imeli med drugim dostop do registrov rejnih živali in kmetijskih gospodarstev, do podatkov o prejemnikih kmetijskih subvencij, do registra hišnih živali in tako dalje.
Informacijska pooblaščenka dr. Jelena Virant Burnik je za Dnevnik potrdila, da so med prekrškovnim postopkom pri odgovornih uslužbencih uprave v zvezi s tem kibernetskim incidentom zaznali tudi elemente kaznivega dejanja in to naznanili organom pregona.
Med inšpekcijskim nadzorom potrdili več nepravilnosti
UVHVVR in IP sta javnost in tiste, katerih varnost osebnih podatkov je bila ogrožena, o tem obvestila šele 6. novembra. Informacijska pooblaščenka dr. Jelena Virant Burnik je v zvezi s kibernetskim incidentom na UVHVVR uvedla inšpekcijski postopek. Včeraj je za Dnevnik potrdila, da je inšpekcijski nadzor zaključen. »V njem so bile ugotovljene zlasti pomanjkljivosti in nepravilnosti glede zagotavljanja varnosti osebnih podatkov v informacijskem sistemu UVHVVR, prav tako nepravilnosti v zvezi z obveščanjem in uveljavljanjem pravic posameznikov, katerih osebni podatki so bili v incidentu prizadeti. UVHVVR je ugotovljene nepravilnosti med postopkom delno odpravila sama, odpravo drugih pa ji je z odločbo naložil IP,« nam je dejala Virant-Burnikova.
Dodala je, da so zaradi neustreznega zagotavljanja varnosti osebnih podatkov proti odgovornim osebam UVHVVR začeli tudi postopek o prekršku, vendar so ga začasno ustavili. Pri obravnavi prekrška so namreč pri odgovornih uslužbencih UVHVVR zaznali tudi elemente kaznivega dejanja, kar so naznanili organom pregona. Toda ker po zakonu o prekrških istega dejanja ni mogoče istočasno vzporedno obravnavati kot prekršek in kot kaznivo dejanje, torej v prekrškovnem in kazenskem postopku (slednji ima prednost pred prekrškovnim postopkom), bo lahko IP prekrškovni postopek nadaljeval po prejemu odločitve pristojnih organov glede kazenskega pregona, je razložila Jelena Virant Burnik.
Težji kibernetski incident
Uroš Svete, direktor vladnega urada za informacijsko varnost, je ob tem poudaril, da takšnega primera z vidika ogrožanja osebnih podatkov v sodobni zgodovini doslej nismo poznali. Zaradi razsežnosti so ga uvrstili v stopnjo C3, kar pomeni težji kibernetski incident, zaradi česar so morali o možnosti zlorabe občutljivih osebnih podatkov obvestiti tudi svet za nacionalno varnost in ministrstvo za obrambo, ki je pristojno za zbiranje vseh podatkov o hibridnih aktivnostih v državi.
Generalna direktorica UVHVVR Vida Znoj je morala zaradi kibernetskega incidenta odstopiti. Kmetijski ministrici Mateji Čalušić je odstop ponudila 7. novembra lani. Ministrica ga je sicer sprejela še isti dan, toda predlog za razrešitev Znojeve je na vlado poslala šele konec letošnjega januarja, potem ko je dr. Rajko Pirnat, strokovnjak za upravno pravo, za Dnevnik med drugim poudaril: »Če uradnik zahteva razrešitev s položaja (to je odločitev, ki se pogovorno imenuje odstop), mora vlada na podlagi tega izdati odločbo o razrešitvi. To mora storiti takoj, ko je mogoče, v bistvu najkasneje na naslednji seji.«
Kadrovsko mešetarjenje
Vlada je Znojevo 29. januarja sicer razrešila, ni pa hkrati imenovala vršilca dolžnosti direktorja, kot veleva zakonodaja. Ministrica Čalušićeva naj bi kolege prepričala, da lahko kar sama nekoga pooblasti za opravljanje tekočih poslov na UVHVVR. Šele ko je dr. Rajko Pirnat za Dnevnik opozoril, da spet kršijo zakon, saj pojma tekočih poslov upravnega organa ni, je vlada naknadno na dopisni seji imenovala v. d. direktorja UVHVVR.
To je 1. februarja postal Boštjan Vidic, o katerem je vlada v obrazložitvi imenovanja zapisala zgolj eno poved: »Je doktor veterinarske medicine z delovnimi izkušnjami s področja dela UVHVVR, trenutno zaposlen kot uradni veterinar na območnem uradu Ljubljana.« To, da je Vidic kot inšpektor delal šele le zadnja tri leta, pred tem pa je bil direktor podjetja Unconditional, specializiranega za veleprodajo hrane za živali in veterinarskih zdravil, so v obrazložitvi, zakaj so ga imenovali za začasnega direktorja, zamolčali.